En réponse à de récentes problèmes de sécurité des données résultant des listes à l'étranger des sociétés Internet chinoises opérant en République populaire de Chine (la «RPC»), l'administration du cyberespace de la Chine (le «CAC») a émis des mesures révisées pour étendre les types d'entrepriseset les circonstances qui nécessiteraient une revue de cybersécurité par le CAC.Cela a eu un impact et pourrait potentiellement avoir un impact sur un large éventail d'entreprises technologiques riches en données.
Le 4 janvier 2022, le CAC a émis les mesures révisées sur la révision de la sécurité du cyberespace (les «mesures révisées»), qui entrera en vigueur le 15 février 2022. Under existing rules, operators of critical information infrastructure[1] (“CII”) intending to procure network products and services that may affect national security are required to undergo cybersecurity review.Les mesures révisées élargissent la portée des entités commerciales révisées pour inclure les opérateurs de plate-forme réseau («NP») ayant l'intention de s'engager dans certaines activités, telles que la demande de liste à l'étranger.
Les mesures révisées établissent un bureau d'examen de la cybersécurité (le «CRO»), un organisme administratif au sein du CAC, pour formuler les réglementations pour l'examen de la cybersécurité et pour diriger le processus d'examen de la cybersécurité.Les opérateurs CII et les opérateurs NP applicables sont tenus de soumettre une demande au CRO, et le CRO évaluera si un examen de la cybersécurité est requis.
CHAMP D'APPLICATION
Si une entité est un opérateur CII ou un opérateur NP, il est tenu de demander l'examen de la cybersécurité si l'une des trois conditions suivantes est remplie:
- The CII operator proposes to procure network products and services that affect or may affect national security;
- The NP operator proposes to carry out data processing activities that affect or may affect national security; or
- The NP operator controls personal information of more than 1 million users, and proposes to apply for overseas listing.
Les mesures révisées utilisent le terme «listes à l'étranger», qui est souvent interprétée dans d'autres règles et réglementations de la RPC comme des listes en dehors de la Chine, par exemple dans le U.S.et exclut les listes à Hong Kong.Par conséquent, bien que le terme «listes à l'étranger» ne soit pas définie dans les mesures révisées, il est supposé que la condition 3 ci-dessus exclurait les opérateurs NP qui cherchent à énumérer à Hong Kong.
Selon les mesures révisées, (a) les «produits et services de réseau» comprennent l'équipement de réseau central, les ordinateurs et serveurs à haute capacité, le stockage de données à haute capacité, les bases de données et les applications, les équipements de sécurité réseau, les services de cloud computing et d'autres produits réseauou des services qui ont un impact significatif sur la sécurité, la cybersécurité ou la sécurité des données CII, et (b) le «traitement des données» signifie la collecte, le stockage, l'utilisation, le traitement, la transmission, la fourniture et la divulgation des données.
Processus d'examen de la cybersécurité et du calendrier
Selon les mesures révisées, le processus et le calendrier de l'examen de la cybersécurité seront les suivants:
Stage | Actions | Time Limits |
The applicant submits application documents to the CRO. | ||
“Go”/“No-Go” Decision | The CRO shall evaluate whether a cybersecurity review is required. | 10 working days after the CRO receives the application documents. |
The CRO notifies the applicant of its determination as to whether a cybersecurity review is required or not. | ||
Preliminary Review(only if the CRO determines that that a cybersecurity review is required) | The CRO shall complete its preliminary review and circulate its determination and recommendation to other government agencies that are members of the cybersecurity review initiative (“CRI Members”)[2] . | 30 working days after the CRO notifies the applicant of the “go” decision, provided that the timeframe may be extended by 15 working days if the circumstances are complicated. |
Inter-Agency Review | CRI Members shall review the CRO’s determination and recommendation and respond to the CRO with their comments. | 15 working days after CRI Members receive the CRO’s determination and recommendation. |
If CRI Members’ comments align with the CRO’s determination and recommendation, the CRO shall notify the applicant of the final decision. | ||
Special Review(only if CRI Members and the CRO do not reach a unanimous decision) | The CRO shall consider CRI Members’ opinions, conduct in-depth analysis, and update its determination and recommendation and once again seek comment from the CRI Members. Thereafter, the CRO shall submit their joint decision to the Central Cybersecurity and Information Committee for approval. | 90 working days, provided that the timeframe may be extended if the circumstances are complicated |
After the Central Cybersecurity and Information Committee approves the decision, the CRO shall notify the applicant of the final decision. |
Les mesures révisées prévoient que si le CRO demande des informations supplémentaires au demandeur, le demandeur doit coopérer et le moment pour le demandeur de préparer et de fournir ces informations ne comptera pas pour les délais décrits ci-dessus.En d'autres termes, l'horloge s'arrêtera pendant que le demandeur prépare des réponses au CRO, et en conséquence le calendrier d'examen réel peut être plus long que les délais fournis dans les mesures révisées.
Il convient également de noter que si un membre du CRI identifie des produits, services ou activités de traitement des données du réseau qui affectent ou peuvent affecter la sécurité nationale, lors de l'obtention de l'approbation par le Comité central de cybersécurité et d'information, ce membre du CRI peut initier l'examen de la cybersécurité sans d'abord recevoirune demande de la partie examinée.
Facteurs de sécurité nationale dans l'examen de la cybersécurité
De plus, les mesures révisées ont ajouté plus de facteurs à considérer pour évaluer les risques de sécurité nationale dans une revue de cybersécurité.En particulier, les mesures révisées mettent en évidence les risques potentiels de sécurité nationale dans les listes à l'étranger des opérateurs NP, car ils peuvent permettre aux gouvernements étrangers d'exercer une influence ou un contrôle sur CII, des données de base, des données importantes ou des informations personnelles massives.
Les mesures révisées répertorient les facteurs suivants qui doivent être évalués dans une revue de cybersécurité:
- Risks of CII being illegally controlled, interfered or sabotaged if the products or services at issue are implemented;
- Potential harms to CII’s business continuity if the products or services at issue are interrupted;
- Safety and transparency of the products or services at issue and the reliability and diversity of the sources of such products or services;
- Compliance of the suppliers of the products or services at issue with the PRC laws, regulations and rules;
- Risks of theft, leakage, destruction, illegal use, or export of core data, important data, or massive personal information;
- Risks of CII, core data, important data, or massive personal information being influenced, controlled or maliciously used by foreign governments if the proposed overseas listing gets through; and
- Other factors that may jeopardize the security of CII, cyberspace and/or data.
Listes à l'étranger
En ce qui concerne les listes à l'étranger, le CAC a en outre clarifié dans son communiqué de presse qu'en vertu des mesures révisées, il y aura trois résultats possibles de la demande d'opérateur de NP pour l'examen de la cybersécurité en ce qui concerne sa liste à l'étranger proposée, soit: soit: soit:
- The CRO determines that the listing does not require a cybersecurity review;
- The CRO determines that the listing requires a cybersecurity review and following the review it determines that there is no national security concern and the NP operator can proceed with the listing; or
- The CRO determines that the listing requires a cybersecurity review and following the review it determines that there is national security concern and the NP operator shall not proceed with the listing.
EFFET
Alors que les mesures révisées devraient avoir un effet d'amortissement sur l'intérêt lent des entreprises de la RPC à rendre public.S., ils fournissent également une voie claire pour les entreprises chinoises qui ne sont pas des opérateurs CII ou des opérateurs NP (par exemple, des sociétés de biotechnologie) pour être répertorié à l'étranger.
[1] According to Article 2 of the Regulation on Protecting the Security of Critical Information Infrastructure, a critical information infrastructure refers to any network facility or information system of important industries and fields (such as public communications and information services, energy, transportation, water conservancy, finance, public services, e-government, and the science, technology and industry for national defense) that, in the event such facility or system is destroyed, loses its function or experiences data leakage, may seriously endanger national security, national economy and livelihood, and public interest.
[2] According to the Revised Measures, CRI Members include the National Development and Reform Commission, the Ministry of Industry and Information Technology, the Ministry of Public Security, the Ministry of State Security, the Ministry of Finance, the Ministry of Commerce, the People's Bank of China, the State Administration for Market Regulation, the National Radio and Television Administration, the China Securities Regulatory Commission, the National Administration of State Secrets Protection and the State Cryptograph Administration.